Undersøkelser viser at norske ledere ikke vet at den nye personvernforordningen angår deres virksomhet. Forståelse og forankring av GDPR-arbeidet hos ledelsen i din virksomhet er det første du må sikre for et vellykket prosjekt.
I et intervju i Computerworld i juni 2017 slår Datatilsynets direktør, Bjørn Erik Thon, fast at Norge ikke er klar for GDPR. Ifølge en nylig undersøkelse fra sikkerhetsselskapet NTT Security er 50 prosent av norske virksomhetsledere ikke bevisste at GDPR er noe som angår deres virksomhet. Selv om GDPR har fått mye oppmerksomhet den siste tiden har ikke omfanget gått opp for norske ledere.
Hvorfor personvernforordningen er viktig
Mange vi er i dialog med uttrykker at de sliter med å få ledelsen til å forstå hvorfor GDPR er viktig og hvilken innsats og investeringer som kreves for å komme i mål til 25. mai 2018. Her er noen av grunnene til at ledelsen bør sette General Data Protection Regulation på dagsorden, med tilhørende innsats og budsjetter:
- Pålagt lovverk: Det er et nytt lovverk som din virksomhet er pliktig til å oppfylle. Det angår alle virksomheter, og er ikke valgfritt, som sertifiseringer for eksempel ofte er.
- Dyrt å slurve: Selv om det er kostnader forbundet med å innføre nye rutiner og systemer for å etterleve GDPR er kostnadene større dersom du blir tatt med buksa nede. Bøtene kan være på opptil 4 prosent av global omsetning, avhengig av alvorlighetsgraden av bruddet.
- Krav til dokumentasjon: Myndigheter, kunder og andre interessenter vil kreve dokumentasjon på at virksomheten etterlever personvernforordningen
- Personvern som arbeidsmetode: Overgangen til GDPR er en god mulighet til å bygge personvern inn i virksomhetens arbeidsmetoder. Det lønner seg å ikke bare etterleve personvernforordningen, men også å leve den. Dette er med på å bygge tillit til kunder, ansatte og andre interessenter. Folk er opptatt av personvern og at deres opplysninger er trygge. De som ikke tar hensyn til dette risikerer å tape i konkurransen på markedet. Kan ikke kunder og ansatte stole på at du forvalter persondata på en god måte går de andre steder.
Vi i ayfie er ikke ute etter å rette pekefingeren mot noen, men ganske enkelt å understreke at ledere må komme på banen. Den nye personvernforordningen krever både tid fra ansatte og muligens investeringer i nye systemer. Skal man bygge personvern inn i arbeidsmetoder krever ofte også en holdningsendring i virksomheten. Ledelsen må forstå behovet og bevilge de ressurser som kreves for å nå deadline 25. mai.
Last ned vår kom-i-gang-sjekkliste for GDPR. 
Få oversikt over dataene
Med ledelsen på laget er neste steg å utpeke en GDPR-ansvarlig. Mange virksomheter er pålagt å ha et personvernombud, og det er naturlig at dette inngår i samme rolle. Deretter må dere sørge for god, grunnleggende kunnskap om GDPR, og så står dataene for tur. Det er her ayfie kommer inn i bildet.
Det første konkrete tiltaket når virksomheten er klar for å sette i gang, er å få oversikt over dataene. Vår tjeneste, ayfie Supervisor for GDPR, er en smart indekseringsløsning som gir dere tilgang til alle strukturerte og ustrukturerte data i organisasjonen. Løsningen kan hjelpe dere å finne informasjonen som gir dere grunnlaget for å oppfylle krav i personvernforordningen, som 72-timersregelen ved sikkerhetsbrudd, retten til å bli slettet og dataportabilitet, for å nevne noe.